Опасной уязвимости в Telegram нет: компания опровергла слухи

Вокруг популярного мессенджера вновь разгорелся скандал, связанный с информационной безопасностью.

Как сообщает корреспондент сетевого издания «Белновости», на этой неделе появились сообщения о выявлении в Telegram критической уязвимости, которая якобы позволяла злоумышленникам получать доступ к аккаунтам пользователей без их ведома – достаточно было отправить специально созданный стикер.

Однако пресс-служба Telegram поспешила опровергнуть эти данные, заявив, что никакой опасной бреши на самом деле не существует.

Поводом для волнений стала запись в базе проекта Zero Day Initiative (ZDI), крупнейшей независимой программы по поиску уязвимостей.

26 марта 2026 года исследователь Майкл Деплант (Trend Micro) зарегистрировал проблему ZDI-CAN-30207, касающуюся Telegram, и предварительно оценил её уровень опасности в 9,8 балла из 10 по шкале CVSS.

Вектор атаки указывал на возможность удалённого вмешательства без участия пользователя и без необходимости в специальных привилегиях.

Некоторые СМИ тут же связали эту запись с анимированными стикерами, предположив, что вредоносный файл может активироваться при просмотре.

Однако представители мессенджера категорически отвергли такие предположения.

В комментарии для «Кода Дурова» они пояснили, что исследователь ошибочно утверждает, будто скомпрометированный стикер может служить вектором атаки.

Аргумент Telegram таков: все загружаемые стикеры проходят обязательную серверную проверку, прежде чем становятся доступными для воспроизведения в приложениях.

Поэтому, как заверили в компании, существование подобного эксплойта технически невозможно.

Тем не менее эта позиция вызвала скепсис у части экспертного сообщества. Авторитетный Telegram-канал @tginfo, специализирующийся на новостях мессенджера, назвал реакцию компании «странной».

По их мнению, Telegram почему-то решил опровергать именно спекуляции о стикерах, тогда как реальная суть уязвимости из отчёта ZDI остаётся нераскрытой и может вообще не иметь к ним отношения.

Более того, утверждение о том, что серверная проверка делает эксплойт невозможным, технически небезупречно: любой слой защиты сам может содержать ошибки, не говоря уже о том, что случаи аварийных завершений приложения при получении определённых стикеров на Android фиксируются и сейчас.

Сам отчёт ZDI-CAN-30207 остаётся засекреченным. По регламенту Zero Day Initiative, исследователи дают разработчикам время на устранение проблемы, прежде чем раскрыть детали.

Дедлайн публичного раскрытия назначен на 24 июля 2026 года. До тех пор ни специалисты, ни обычные пользователи не узнают точной природы угрозы и того, насколько серьёзной она могла бы быть.

Оценка в 9,8 балла, присвоенная исследователем, может быть скорректирована после полного анализа.

В то же время в сети уже появились объявления о продаже рабочего эксплойта для этой уязвимости по цене 499 долларов.

Эксперты по безопасности, опрошенные СМИ, сомневаются в подлинности таких предложений, отмечая, что столь опасная zero-click уязвимость не может стоить так дёшево, а продавец вряд ли может быть уверен, что именно его файл соответствует той самой бреши, о которой сообщалось в ZDI.

Таким образом, перед пользователями Telegram разворачивается классическая ситуация: с одной стороны – официальное опровержение разработчиков, с другой – настораживающая запись в авторитетной базе уязвимостей и скепсис наблюдателей.

Единственное, что можно рекомендовать на данный момент, – следить за обновлениями мессенджера и устанавливать их сразу после выхода, а также по возможности избегать получения подозрительных медиафайлов от незнакомых контактов. Следующие месяцы покажут, чья позиция окажется ближе к истине.